par Gorik Van den Bergh et Frederik Vervoort
Dans un premier article, nous avons analysé ce qu’implique exactement la nouvelle directive NIS2 adoptée par le Parlement européen. Dans cette deuxième partie, nous examinons de plus près certaines des mesures et procédures que la directive européenne NIS2 exige de mettre en place en tant que minimum pour réduire la vulnérabilité de votre organisation et accroître sa résilience aux cyberattaques (et éviter les sanctions).
Les organisations essentielles et importantes couvertes par le champ d'application de la directive NIS2 doivent prendre des mesures appropriées et proportionnées pour gérer les risques de sécurité liés à leur réseau et à leurs systèmes d'information ainsi que pour prévenir les incidents ou atténuer l'impact des incidents sur les destinataires de leurs services.
Ces mesures comprennent au minimum les éléments suivants :
Politique en matière d’analyse des risques et sécurité des systèmes d'information ;
Traitement des incidents ;
Continuité des activités, telles que la gestion des sauvegardes et les plans d'urgence, la gestion des crises ;
Sécurité de la chaîne d'approvisionnement, y compris les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris la réponse aux vulnérabilités et leur divulgation ;
Politiques et procédures destinées à évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité ;
Pratiques de base en matière d'hygiène cyber et de formation à la cybersécurité ;
Politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;
Aspects de sécurité concernant le personnel, la politique d'accès et la gestion des actifs ;
le cas échéant, utilisation d'une authentification multifactorielle ou de solutions d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité.
Il est recommandé d'aborder le projet de conformité NIS2 comme un projet (TIC) :
Assurez-vous d'obtenir le soutien, le budget et les ressources de la direction générale, ainsi que l'engagement nécessaire des parties prenantes ;
Établissez un calendrier concret et travaillez en mode projet avec des échéances fixes ;
Identifiez les services, les processus et les actifs critiques pour soutenir les services essentiels à prester tels que décrits par la directive NIS2 (par exemple, par le biais d'une analyse d'impact sur l'entreprise à l'échelle de l'organisation).
Si aucun système de gestion de la sécurité de l'information n'a encore été mis en place, c’est la priorité ! Il est crucial de disposer d’un système de gestion de la sécurité de l'information (SGSI), notamment l'identification et l'évaluation des risques liés à la sécurité de l'information.
Si un SGSI est déjà en place, vous pouvez immédiatement commencer à effectuer une "analyse des lacunes". Évaluez dans quelle mesure les exigences NIS2 sont déjà satisfaites ; quels sont les gains rapides et quels sont les points d’attention qui nécessiteront plus d'efforts et de temps ?
En se basant sur les connaissances acquises au cours des étapes précédentes, des actions concrètes peuvent être formulées pour combler le "déficit de conformité" par rapport à la directive NIS2. La mise en œuvre des mesures NIS2 est une approche holistique qui intègre les aspects humains, techniques et organisationnels. Ce n'est qu'en réunissant ces trois piliers que les organisations peuvent protéger efficacement leur infrastructure numérique et répondre aux exigences NIS2.
Sur le plan humain, les organisations doivent d'abord investir dans la sensibilisation et la formation de leur personnel à la cybersécurité. Les mesures humaines comprennent également l'établissement de procédures claires de signalement des incidents et la formation du personnel pour qu'il puisse réagir rapidement aux incidents de sécurité.
Sur le plan technique, des technologies de sécurité avancées sont nécessaires. Il s'agit notamment d'installer des pare-feu, des systèmes de détection d'intrusion, des logiciels de cryptage, des logiciels antivirus et d'autres solutions techniques pour protéger les réseaux et les systèmes contre les cyberattaques. Il est également essentiel d'apporter des correctifs et de maintenir les logiciels et les systèmes à jour.
Les mesures organisationnelles comprennent l'élaboration de politiques de sécurité solides et la mise en place de procédures de gestion des incidents de sécurité. Ces politiques doivent définir des responsabilités claires, ainsi que des mécanismes d'évaluation des risques et des audits de sécurité. Les organisations doivent également appliquer le principe du "moindre privilège" pour s'assurer que les salariés n'ont accès qu'aux informations et aux systèmes strictement nécessaires à leur travail.
Le suivi implique que les organisations surveillent en permanence leur réseau et leurs systèmes d'information. Il s'agit notamment de détecter à un stade précoce les incidents de sécurité potentiels, tels que les cyberattaques et les fuites de données.
En outre, une amélioration continue est essentielle pour répondre aux exigences de la directive NIS2, à savoir la révision et l’amélioration des politiques de sécurité, la mise à jour des mesures techniques et la formation du personnel dans le domaine de la sensibilisation à la cybersécurité.
Vous ne savez pas si et dans quelle mesure vous devez vous conformer à la directive NIS2 ?
Vous souhaitez en savoir plus sur les mesures concrètes qui vous manquent encore pour être conforme à la directive NIS2 ?
Vous avez des doutes sur l'approche à adopter ?
Nos experts vous conseillent et, le cas échéant, vous aident à mettre en œuvre les mesures de sécurité nécessaires pour être conforme à la directive NIS2.
Vous souhaitez en savoir plus sur la conformité de votre organisation en matière de cybersécurité ? Contactez Gorik.vandenbergh@vdl.be ou cyber@vdl.be.
Ce formulaire ne peut être envoyé qu’avec l’utilisation de cookies techniques. Vous pouvez accepter ces cookies ici.
Ces cookies sont utilisés pour distinguer les gens des robots. Certaines données, tells que votre adresse IP ou votre préférence linguistique, peuvent être envoyées à Google. Pour plus d’informations sur notre politique en matière de cookies, cliquez ici.
Gorik Van den Bergh
Certified Information Systems Auditor Gorik.VandenBergh@vdl.be
Frederik Vervoort
Managing consultant frederik.vervoort@vdl.be
Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.
Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.